Corso Privacy: perché è obbligatorio, cos’è e chi lo deve fare
L’entrata in vigore il 25 maggio 2018 del Regolamento Europeo per la protezione dei dati personali (GDPR – General Data Protection Regulation) ha reso ancora più fondamentale l’obbligo per i soggetti che effettuano il trattamento dei dati altrui di adottare misure di sicurezza tecniche organizzative e cautele per tutelare la diffusione dei dati sensibili proteggendoli da eventuali illeciti.
La filosofia cardine del nuovo GDPR è l’accountability (o responsabilizzazione) per tutte le fasi del trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure. Per far questo, l’azienda deve avere addetti formati sui principi della PRIVACY e sulle procedure aziendali messe in atto
Obbligo della formazione Privacy
Il Regolamento non specifica nel dettaglio che tipo di corsi devo essere svolti (come ad es. prevede la normativa in materia di sicurezza sul lavoro), ma l’obbligo deriva dagli art. 29, 32 e 39 del Regolamento UE 2016/679 (GDPR).
Come previsto dall’art. 29 del Regolamento, il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Gli obblighi formativi sono introdotti dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto, devono implementare dei processi formativi che rispondano ai requisiti delle Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca dati personali.
In caso di violazione degli articoli 29 e 39 (obbligo formativo), verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti.
Il corso PRIVACY (consigliate almeno 2 ore di formazione) ha l’obiettivo di fornire le nozioni principali per istruire dipendenti e collaboratori sul tema della protezione dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR), trattando in particolare i seguenti argomenti:
- Principi del Regolamento 2016/679
- Attori del trattamento dati personali
- Nomine delle figure in relazione alla struttura organizzativa
- Approccio basato sul rischio del trattamento
- Rispetto delle procedure e delle misure di sicurezza adottate
- Documenti del GDPR
Per il mantenimento della Compliance al GDPR PRIVACY è previsto un aggiornamento almeno triennale della formazione per tutti gli addetti che trattano i dati.